1. Et hurtigt overblik
Thanxful er en applikation, der giver dig mulighed for at føre en personlig taknemmelighedsdagbog og — hvis du ønsker det — modtage AI-genererede indsigter om det, du skriver. Din dagbog tilhører dig. Vi rører kun ved det, du skriver, for at drive Tjenesten, og vi sælger den aldrig, anvender den ikke til reklame og lader den aldrig bruges til at træne nogen AI-model.
| Emne | Kort svar |
|---|---|
| Dataansvarlig | Kadir Alan — enkeltmandsvirksomhed (şahıs şirketi), Tyrkiet. Kontakt: [email protected]. |
| Hvilke oplysninger behandles? | E-mail, navn, profilbillede (valgfrit), dine dagbogsindlæg, sindsstemning, enheds- og abonnementsoplysninger. |
| Hvorfor? | For at levere Tjenesten, administrere abonnementer, sende påmindelsesnotifikationer og — kun hvis du har afgivet udtrykkeligt samtykke — generere AI-genererede indsigter ud fra dine indlæg. |
| Hvem deles oplysningerne med? | Vores tjenesteleverandører: Google Firebase (infrastruktur), OpenAI og Google Gemini (AI), RevenueCat (abonnement), Apple (login, notifikationer, sikkerhed). Dine oplysninger sælges eller udlejes ikke. |
| Hvor opbevares de? | Din konto og din dagbog opbevares i Den Europæiske Union (Google Cloud europe-west1, Belgien). Dine indlæg overføres kun til USA, hvis du selv aktiverer AI-funktionen. |
| Hvor længe? | Indtil du sletter din konto. Når du sletter, fjernes dine oplysninger straks fra vores aktive systemer; sikkerhedskopier og logfiler slettes inden for 30 dage. |
| Hvilke rettigheder har du? | Indsigt, berigtigelse, sletning, dataportabilitet, indsigelse og tilbagetrækning af samtykke. Skriv til [email protected] med emnet Privatliv; vi besvarer henvendelsen inden for 30 dage. |
2. Den Dataansvarliges Identitet
Thanxful-applikationen leveres af Kadir Alan, der driver virksomhed i Tyrkiet som enkeltmandsvirksomhed (şahıs şirketi).
| Dataansvarlig | Kadir Alan — enkeltmandsvirksomhed (şahıs şirketi), Tyrkiet |
| Kontakt | [email protected] (det vil hjælpe med korrekt videresendelse af din henvendelse, hvis du anfører Privatliv i emnefeltet) |
Som enkeltmandsvirksomhed ligger vi under registreringstærsklen for KVKK's register over dataansvarlige (VERBİS) samt under tærsklen for udpegning af en databeskyttelsesrådgiver i henhold til GDPR artikel 37, og vi er derfor ikke forpligtede til at lade os registrere i VERBİS eller udpege en DPO. Skulle dette ændre sig, opdateres nærværende politik. For at anmode om en fysisk forkyndelsesadresse kan du skrive til os på [email protected]; en forkyndelsesadresse vil blive oplyst efter anmodning.
3. Omfang
Nærværende politik omfatter følgende:
- Thanxful iOS-applikationen (
com.aota.thanxfulog betacom.aota.thanxful.beta), som er udgivet på Apple App Store. - Webstedet
thanxful.app(præsentationssider, nærværende juridiske tekster og tilknyttet indhold).
Privatlivspraksis hos tredjepartstjenester (f.eks. Apple App Store, OpenAI, RevenueCat), som du henvises til via applikationen eller webstedet, er underlagt den pågældende tjenestes egne politikker; den Dataansvarlige har intet ansvar i disse henseender.
4. Kategorier af Behandlede Personoplysninger
Der behandles udelukkende personoplysninger, der er nødvendige for at levere Tjenesten. Oplysningerne er inddelt i seks kategorier:
4.1 Identitetsoplysninger
Når du opretter en konto, behandles følgende oplysninger:
- E-mailadresse (obligatorisk).
- Navn/visningsnavn (valgfrit; du kan til enhver tid ændre det eller lade det stå tomt).
- Profilbillede (valgfrit; opbevares i Firebase Storage).
- Firebase-bruger-ID, som genereres automatisk af systemet.
- Hvis du anvender Sign in with Apple: din e-mail (rigtig eller Apples private videresendelsesadresse) og dit fulde navn, hvis du vælger at dele det. Apple videregiver ikke dit Apple ID til os.
4.2 Dagbogsindhold — kan udgøre særlige kategorier af personoplysninger
For hvert indlæg, du gemmer, behandles følgende oplysninger:
- Indlægstekst (op til 3.000 tegn).
- Rich text-formatering (fed, kursiv, lister — op til 30.000 tegn, kodet).
- Valgfri sindsstemning.
- Oplysninger om den prompt, du har besvaret (hvis nogen).
- Lokal kalenderdato.
Dagbogsindhold er personligt og følsomt. I henhold til artikel 6 i KVKK og artikel 9 i GDPR kan dagbogstekster indeholde særlige kategorier af personoplysninger om dit helbred, din religiøse overbevisning, dine politiske holdninger, dit seksuelle liv eller dit fagforeningsmedlemskab. Behandlingen af dit dagbogsindhold med kunstig intelligens er derfor i sin helhed betinget af dit udtrykkelige samtykke (jf. §6).
4.3 Profil- og præferenceoplysninger
- Stribe-oplysninger (aktuel og længste stribe).
- Tidspunkt for seneste aktivitet og tidszone (din enheds IANA-tidszone, f.eks.
Europe/Istanbul). - Sprogpræference (dit valg fra en liste på 30 sprog).
- Tema-præference (Espresso, Cosmos, Oat m.fl.).
- Notifikationsindstillinger: om påmindelser er aktiveret, påmindelsestidspunkt og tidszone.
- Abonnementsstatus: om du har et aktivt premium-abonnement (via RevenueCat; jf. §7).
- Log over udtrykkeligt samtykke til AI — en append-only log (kun tilføjelser kan foretages), der indeholder dine handlinger om afgivelse, afslag eller tilbagetrækning af samtykke, kilden hertil (onboarding, efter indlæg, efter køb eller Indstillinger), tidsstempel og antallet af viste prompts. Denne log føres i overensstemmelse med Apple App Store Review Guideline 5.1.2(i).
4.4 Enheds- og brugsoplysninger
Følgende oplysninger behandles automatisk, når du anvender applikationen:
- Enhedsoplysninger: model, operativsystemversion, applikationsversion, lokalitet, land, tidszone og Firebases interne app-instans-ID.
- FCM-notifikationstoken — et token, som Firebase Cloud Messaging tildeler din enhed, så vi kan sende dig påmindelser. Det opbevares i Firestore tilknyttet din konto og fornyes efter geninstallation eller log-ud.
- Hændelsesdata: metadata som hvilken skærm du har set i applikationen, om du har gemt et indlæg, om du har åbnet en indsigt, om du har påbegyndt et køb — men indholdet af dine indlæg indgår ikke i disse logfiler.
- Nedbrudsrapporter via Firebase Crashlytics (stack trace, enhedstilstand på nedbrudstidspunktet). Crashlytics er deaktiveret i debug-builds; det er aktiveret i de builds, der distribueres til brugerne.
Følgende oplysninger behandles ikke:
- Din IP-adresse i applikationen (Firebase Analytics videregiver ikke denne oplysning til os).
- Din annoncerings-id (IDFA) — vi anvender Firebases version uden AdSupport, og signaler til reklamepersonalisering er deaktiveret.
4.5 Abonnementsoplysninger
Når du køber et Thanxful-abonnement:
- Transaktionen gennemføres af Apple (App Store). Din betalingsmetode eller dine kortoplysninger overføres ikke til os.
- RevenueCat håndterer abonnementets livscyklus på vores vegne. De oplysninger, der deles med RevenueCat, er dit Firebase-bruger-ID; RevenueCat videregiver til os produkt-ID, status, sidste gyldighedsdato og fornyelsesdato.
4.6 Kommunikation og feedback
- Supportmails, du sender til
[email protected]. - Funktionsanmodninger og fejlrapporter, du sender fra applikationen (begrænset på dagsbasis for at forhindre misbrug). Den tekst, du har skrevet, dit bruger-ID og afsendelsestidspunktet opbevares. Når du sletter din konto, anonymiseres feedback (bruger-ID erstattes med
"deleted_user"); selve teksten slettes ikke, men forbindelsen til dig fjernes.
4.7 Onboarding-prøveversion (før kontooprettelse)
Hvis du ønsker at afprøve en enkelt AI-indsigt, før du opretter en konto, behandles følgende oplysninger:
- Et enheds-UUID, der genereres af din enhed (ikke IDFA).
- SHA-256-hashet IP-adresse (den rå IP-adresse opbevares ikke).
- Apple DeviceCheck-token (for at forhindre, at prøveversionen anvendes flere gange pr. enhed).
Disse oplysninger behandles kun kortvarigt med henblik på at begrænse prøveversionen (én gang pr. enhed pr. dag, 20 pr. global IP pr. dag) og forhindre misbrug.
4.8 Sikkerhed
- Din app-låsekode (hvis du vælger at aktivere den) opbevares udelukkende i din enheds iOS Keychain; den forlader ikke din telefon. Dine biometriske oplysninger (Face ID / Touch ID) forbliver i Apples Secure Enclave; de overføres ikke til os.
5. Formål med Behandlingen og Retsgrundlag
Formålet med hver enkelt behandlingsaktivitet samt retsgrundlaget i henhold til KVKK artikel 5-6 og GDPR artikel 6 er angivet i nedenstående tabel:
| Behandlingsaktivitet | Formål | KVKK-retsgrundlag | GDPR-retsgrundlag |
|---|---|---|---|
| Oprettelse af konto og opbevaring af dine indlæg | Grundlæggende levering af Tjenesten | Art. 5/2(c) — indgåelse og opfyldelse af kontrakt | Art. 6(1)(b) — opfyldelse af kontrakt |
| Generering af AI-indsigter ud fra dine dagbogsindlæg | Kun hvis du har afgivet udtrykkeligt samtykke | Art. 6(2) — udtrykkeligt samtykke for særlige kategorier af personoplysninger | Art. 6(1)(a) + Art. 9(2)(a) — udtrykkeligt samtykke for særlige kategorier af personoplysninger |
| Afsendelse af daglige taknemmelighedspåmindelser | Når du har aktiveret det i Indstillinger | Art. 5(1) — udtrykkeligt samtykke | Art. 6(1)(a) — samtykke |
| Behandling af abonnementer via Apple og RevenueCat | Levering af den tjeneste, du har købt | Art. 5/2(c) — opfyldelse af kontrakt | Art. 6(1)(b) — kontrakt |
| Nedbrudsrapportering og samlet produktanalyse | Levering af en pålidelig og stabil applikation | Art. 5/2(f) — legitim interesse | Art. 6(1)(f) — legitim interesse |
| Foranstaltninger mod misbrug (DeviceCheck, IP-hashing, kvotebegrænsninger) | Forhindring af svindel og udnyttelse af omkostninger | Art. 5/2(f) — legitim interesse | Art. 6(1)(f) — legitim interesse |
| Opbevaring af betalingsregistreringer til skat og bogføring | Opfyldelse af retlig forpligtelse | Art. 5/2(a) — retlig forpligtelse | Art. 6(1)(c) — retlig forpligtelse |
| Besvarelse af lovlige anmodninger fra kompetente myndigheder | Lovkrav | Art. 5/2(a) — retlig forpligtelse | Art. 6(1)(c) — retlig forpligtelse |
Vi behandler ikke dine oplysninger med profileringsformål, vi foretager ikke automatiserede afgørelser, der kan have væsentlige følger for dig, og vi sælger eller udlejer ikke dine personoplysninger.
6. Behandling af Dit Dagbogsindhold med Kunstig Intelligens
Nærværende afsnit er udarbejdet særligt for dig, både i henhold til Apple App Store Review Guideline 5.1.2(i) og som ejer af din egen dagbog.
Hvad foregår der?
Hvis du afgiver udtrykkeligt samtykke, sender Thanxful udvalgte dagbogsindlæg til tredjeparts AI-leverandører; disse leverandører genererer:
- Øjeblikkelig indsigt — en kort refleksion over et enkelt indlæg.
- Ugentligt resumé — en sammenfattende analyse af de seneste 7 dage.
- Månedligt resumé — en dybtgående analyse af de seneste 30 dage.
Hvem behandler dine indlæg?
- OpenAI (primær leverandør) — modellerne
gpt-4o-minioggpt-4o. Servere i USA. - Google Gemini (reserveleverandør, hvis OpenAI ikke er tilgængelig) — på Googles globale infrastruktur.
Hvilke oplysninger overføres?
- Indlægsteksterne for den analyserede periode.
- Dit visningsnavn (så indsigten kan henvende sig til dig ved navn).
- Din sprogpræference (så indsigten genereres på dit sprog).
Hvilke oplysninger overføres ikke?
- Din e-mailadresse.
- Stribe-oplysninger, abonnementsstatus eller andre profiloplysninger.
- Andre brugeres oplysninger overhovedet.
Opbevaringsperioder hos leverandøren
- OpenAI opbevarer anmodninger modtaget via API'et i op til 30 dage med henblik på misbrugsregistrering og sletter dem derefter. OpenAI anvender ikke API-data til træning af modeller. (Kilde: OpenAI API Terms.)
- Google Gemini anvender som standard ikke API-data til træning af modeller. (Kilde: Google Gemini API Terms.)
Dit udtrykkelige samtykke
- Dit udtrykkelige samtykke indhentes på det tidspunkt, hvor kunstig intelligens for første gang kan tages i brug — ved onboarding, efter du har gemt et indlæg eller efter et premium-køb.
- Dit samtykke registreres i en append-only revisionslog (
users/{uid}/aiConsent). - Du kan til enhver tid trække dit samtykke tilbage: Indstillinger → Udtrykkeligt samtykke til AI. Tilbagetrækningen standser øjeblikkeligt fremtidig behandling. De indsigter, der er genereret indtil dette tidspunkt, forbliver i din historik, indtil du sletter dem eller din konto.
- Da din dagbog kan indeholde særlige kategorier af personoplysninger i henhold til KVKK artikel 6 og GDPR artikel 9, er dit udtrykkelige samtykke retsgrundlaget for overførsel til AI-leverandørerne.
AI-genererede indsigter er ikke medicinske, juridiske eller terapeutiske råd
Indsigterne er automatisk genererede tekster. De kan være forkerte, vildledende eller taget ud af sammenhæng. De kan ikke erstatte en autoriseret terapeut, læge, advokat eller anden fagperson. Hvis du befinder dig i en vanskelig situation, anbefaler vi, at du henvender dig til en kompetent fagperson eller, i nødstilfælde, til de lokale alarmtjenester.
7. Deling og Tredjeparter
Dine personoplysninger deles udelukkende med følgende tjenesteleverandører og udelukkende til de angivne formål. Hver enkelt leverandør er kontraktligt forpligtet til kun at behandle dine personoplysninger efter vores instrukser og til at træffe passende sikkerhedsforanstaltninger.
| Leverandør | Rolle | Delte oplysninger | Region | Privatlivspolitik |
|---|---|---|---|---|
| Google LLC (Firebase) | Infrastruktur: autentificering, Firestore, Storage, Cloud Functions, notifikationer, analyse, nedbrudsrapport, remote config, App Check | Alle profiloplysninger, dagbogsindlæg, FCM-tokens, analysehændelser, nedbrudsrapporter | Firestore og Cloud Functions i europe-west1 (Belgien, EU). Analytics og Crashlytics på Googles globale infrastruktur. |
https://policies.google.com/privacy |
| OpenAI, L.L.C. | AI-indsigtsgenerering | Dagbogstekst, visningsnavn, sprog — kun når du har afgivet samtykke | USA | https://openai.com/policies/privacy-policy |
| Google LLC (Gemini API) | AI-indsigtsgenerering (reserve) | Samme som OpenAI | USA / globalt | https://policies.google.com/privacy |
| RevenueCat, Inc. | Abonnementsadministration | Firebase-bruger-ID, produkt-ID, abonnementsstatus, fornyelsesdato | USA | https://www.revenuecat.com/privacy |
| Apple Inc. | Sign in with Apple, APNs-notifikationer, DeviceCheck, App Store-betalinger | Apple ID-e-mail, notifikationstokens, enhedsbit, købsregistreringer | Apples infrastruktur | https://www.apple.com/legal/privacy/ |
Bemærkning vedrørende Meta / Facebook: I vores Info.plist-fil findes alene en FacebookAppID: 2198469434228743-erklæring for at aktivere URL-skemaet til "deling til Instagram Stories". Facebook SDK anvendes ikke; ingen oplysninger sendes til Meta. Hvis du vælger at dele — og kun i så fald — videresendes det billede, du har valgt, til Instagram-applikationen via iOS Share Sheet.
Anmodninger fra kompetente myndigheder
Dine personoplysninger videregives kun til kompetente myndigheder inden for rammerne af en gyldig juridisk proces i Tyrkiet eller en gyldig juridisk proces i et land, der har jurisdiktion over os. I det omfang loven tillader det, vil du blive informeret om sådanne anmodninger.
Ingen salg af oplysninger
Dine personoplysninger sælges ikke. De "deles" ikke til formål for kontekstuafhængig adfærdsbaseret reklame som defineret i CCPA/CPRA.
8. Overførsel til Tredjelande
Din konto og din dagbog opbevares i Den Europæiske Union (Google Cloud europe-west1, Belgien).
Nogle af vores tjenesteleverandører er beliggende i Amerikas Forenede Stater:
- OpenAI og Google Gemini modtager dine dagbogsindlæg (kun når du har afgivet samtykke) med henblik på AI-behandling.
- RevenueCat behandler din abonnementsstatus.
- Visse Apple- og Firebase-tjenester drives på global infrastruktur.
De juridiske mekanismer, der ligger til grund for disse overførsler, er:
- Under GDPR: EU-Kommissionens standardkontraktbestemmelser (SCC'er) i henhold til afgørelse 2021/914, som er indarbejdet i de databehandleraftaler, der er indgået med hver enkelt leverandør, samt de tekniske foranstaltninger (kryptering, adgangskontrol), der anvendes under og efter overførslen. For leverandører, der er certificeret under EU–US Data Privacy Framework, lægges desuden denne adequacy-afgørelse til grund.
- Under UK GDPR: UK International Data Transfer Addendum (IDTA), der er knyttet til de samme SCC'er.
- Under KVKK: Følgende kombinerede sæt af garantier:
- Dit udtrykkelige samtykke i henhold til KVKK artikel 9 til overførsel af dit dagbogsindhold til USA, når du aktiverer AI-funktionen;
- De databehandleraftaler (DPA'er), der er indgået med hver enkelt leverandør — navnlig Google Cloud / Firebase DPA (som indeholder SCC'erne), OpenAI API Data Processing Addendum og RevenueCat DPA — som kontraktlig garanti;
- De tekniske foranstaltninger, der er anført i §11 (kryptering, App Check, dataminimering ved logning).
Det er vores mål at indgå Standart Sözleşme-skabelonen, som er udstedt af Tyrkiets databeskyttelsesmyndighed, med hver leverandør, der accepterer at underskrive den, samt at indgive meddelelse til myndigheden inden for 5 hverdage efter underskriftsdatoen. I de tilfælde, hvor en leverandør ikke accepterer myndighedens skabelon og anvender sin egen DPA, finder de ovennævnte garantier anvendelse.
Du kan rekvirere en kopi af overførselsgarantierne ved at skrive til [email protected].
9. Opbevaringsperiode
Personoplysninger opbevares kun, så længe det er nødvendigt.
| Oplysning | Opbevaringsperiode |
|---|---|
| Kontooplysninger (e-mail, navn, profil, præferencer) | Indtil du sletter din konto. |
| Dagbogsindlæg, sindsstemning, stribe-oplysninger | Indtil du selv sletter dem, anvender Indholdsnulstilling eller sletter din konto. |
| Log over udtrykkeligt samtykke til AI | I kontoens levetid, alene som append-only (krav i App Store 5.1.2(i)). Slettes sammen med kontoen. |
| Genererede AI-indsigter (øjeblikkelig, ugentlig, månedlig) | Indtil du selv sletter dem eller sletter din konto. |
| FCM-notifikationstokens | Indtil din enhed afmelder sig, du logger ud eller kontoen slettes. |
| Crashlytics-nedbrudsrapporter | 90 dage (Googles standard). |
| Firebase Analytics-hændelsesdata | 14 måneder (Googles minimumsstandard). |
| Serverlogfiler (Cloud Logging) | 400 dage (indlægsindhold logges ikke; jf. §11). |
| Sporbarhedslogfiler (Cloud Trace) | 15 dage. |
| Funktionsanmodninger / fejlrapporter | Opbevares med henblik på produktudvikling; ved sletning af kontoen anonymiseres de ved fjernelse af bruger-ID. |
| Betalingsregistreringer (via Apple og RevenueCat) | I den periode, der kræves i henhold til tyrkisk skatte- og handelsret — typisk 10 år. |
Når du sletter din konto (Indstillinger → Avanceret → Slet konto eller via e-mail), fjernes din profil, dine indlæg, dine indsigter, dine præstationer, din AI-samtykkelog og dine FCM-tokens øjeblikkeligt fra vores aktive systemer. For så vidt angår tjenesteleverandørernes caches, sikkerhedskopier og logfiler kan sletningen tage op til 30 dage.
10. Dine Rettigheder
Afhængigt af det land, du befinder dig i, har du alle eller en del af følgende rettigheder:
KVKK artikel 11 (personer bosiddende i Tyrkiet):
- Få oplyst, om dine personoplysninger behandles.
- Anmode om oplysninger herom, hvis de behandles.
- Få oplyst formålet med behandlingen og om de anvendes i overensstemmelse hermed.
- Få oplyst hvilke tredjeparter dine oplysninger overføres til, i ind- eller udland.
- Anmode om berigtigelse, hvis de er ufuldstændige eller forkert behandlede.
- Anmode om sletning eller tilintetgørelse i henhold til KVKK artikel 7.
- Anmode om, at anmodninger om berigtigelse, sletning eller tilintetgørelse meddeles de tredjeparter, oplysningerne er overført til.
- Gøre indsigelse mod afgørelser, der har negative konsekvenser for dig, og som er truffet på grundlag af analyser udført af automatiserede systemer.
- Anmode om erstatning for skade som følge af ulovlig behandling.
GDPR (personer bosiddende i EU/EØS og UK):
- Indsigt (Art. 15), berigtigelse (Art. 16), sletning (Art. 17), begrænsning af behandlingen (Art. 18), dataportabilitet (Art. 20), indsigelse (Art. 21), tilbagetrækning af dit udtrykkelige samtykke (Art. 7). Vores selvbetjeningsskærm til eksport er endnu ikke tilgængelig; hvis du anmoder om det pr. e-mail, sender vi dig dine indlæg og profiloplysninger i struktureret JSON-format inden for 30 dage.
CCPA / CPRA (personer bosiddende i Californien):
- Ret til at få oplyst hvilke personoplysninger der indsamles, deres kilder, formål og tredjeparter.
- Ret til sletning og berigtigelse.
- Ret til at gøre indsigelse mod salg/deling af personoplysninger — vi sælger ikke og deler ikke oplysninger; der er intet at gøre indsigelse mod.
- Ret til at begrænse anvendelsen af følsomme personoplysninger — følsomme oplysninger (dit dagbogsindhold) anvendes ikke til andre formål end de i §5 angivne.
- Ret til ikke at blive udsat for forskelsbehandling som følge af, at du udøver dine rettigheder.
Hvordan udøver du dine rettigheder?
Send en e-mail til [email protected] med emnet Anmodning om Privatliv, og angiv hvilken rettighed du ønsker at udøve. Vi kan anmode om yderligere oplysninger for at bekræfte din identitet (typisk ved at bede dig svare fra den e-mailadresse, der er registreret på din konto). I henhold til KVKK artikel 13 og GDPR artikel 12 besvares din anmodning senest inden for 30 dage. Hvis der er behov for yderligere tid, vil du blive underrettet om årsagen og det forventede svartidspunkt.
Hvis du under CCPA ønsker at indgive en anmodning gennem en repræsentant, kan vi alligevel kontakte dig direkte for at verificere repræsentantens fuldmagt.
Medmindre din anmodning er åbenlyst grundløs eller overdreven, er udøvelsen af disse rettigheder gratis.
Klageinstanser
- Tyrkiet: Kişisel Verileri Koruma Kurumu (KVKK) — https://www.kvkk.gov.tr/
- EU/EØS: Databeskyttelsesmyndigheden i det land, du befinder dig i — https://edpb.europa.eu/about-edpb/about-edpb/members_en
- Storbritannien: Information Commissioner's Office — https://ico.org.uk/
- Californien: California Privacy Protection Agency — https://cppa.ca.gov/
11. Foranstaltninger til Datasikkerhed
Datasikkerhed er taget i betragtning fra designfasen. De anvendte tekniske og organisatoriske foranstaltninger omfatter:
- Kryptering under overførsel — al netværkstrafik krypteres med TLS 1.2+.
- Kryptering ved opbevaring — Google Clouds AES-256-kryptering på serversiden.
- Autentificering — Firebase Auth; adgangskoder opbevares aldrig i klartekst.
- App Check — Apple App Attest i produktionsbygget; anmodninger fra utroværdige kilder afvises.
- Apple DeviceCheck — forhindrer misbrug i forbindelse med onboarding-prøveversionen.
- Strenge Firestore-sikkerhedsregler — hver bruger kan kun læse og skrive sine egne oplysninger.
- Adskillelse af følsomme oplysninger — app-låsekoden opbevares udelukkende i iOS Keychain; biometriske oplysninger forbliver i Apple Secure Enclave.
- PII-minimerede logfiler — dagbogsindhold indgår ikke i serverlogfiler; alene de metadata (bruger-ID, hændelsestype, status), der er nødvendige for drift og fejlfinding, registreres.
- Håndtering af hemmelige nøgler — API-nøgler (OpenAI, RevenueCat, Apple DeviceCheck) opbevares i Firebase Secret Manager og er ikke en del af koden.
Da intet system er fuldstændig sikkert, gælder følgende, hvis et brud på personoplysninger konstateres:
- I henhold til KVKK artikel 12, stk. 5, foretages anmeldelse til Tyrkiets databeskyttelsesmyndighed inden for 72 timer;
- I henhold til GDPR artikel 33-34 foretages de nødvendige meddelelser direkte til personer bosiddende i EU/EØS samt til de relevante myndigheder.
12. Børn
Thanxful er ikke rettet mod børn under 13 år. For at kunne anvende Tjenesten skal du være mindst 13 år gammel (jf. Tjenestens Vilkår §3). Hvis du er mellem 13 og 16 år (digital samtykkealder i visse EU-medlemsstater), kan lovgivningen i det land, du befinder dig i, kræve samtykke fra en forælder eller værge. I henhold til artikel 15 i den tyrkiske civillov (TMK) har mindreårige under 18 år ikke fuld kontraktretlig handleevne, og der kræves derfor samtykke fra en forælder eller værge for en bruger under 18 år.
Der indsamles ikke bevidst personoplysninger fra børn under 13 år. Hvis du som forælder eller værge mener, at dit barn har delt oplysninger uden din viden, bedes du skrive til [email protected]; oplysningerne vil blive slettet.
Applikationens aldersvurdering på App Store (4+) angiver, at applikationens indhold er egnet for alle aldre (uden vold, seksuelt indhold eller bandeord). Denne indholdsvurdering ændrer ikke kontraktforbuddet under 13 år.
Der findes ingen separat aldersfilter (age gate) for brugere ved onboarding, og minimumsalderen håndhæves gennem skriftlig aftale — denne tilgang er almindelig praksis i dagbogs-/wellness-applikationer.
13. Californien (CCPA / CPRA) Oplysninger
Hvis du er bosiddende i Californien, finder dette afsnit anvendelse på dig som tillæg til den øvrige del af nærværende politik.
Indsamlede kategorier af personoplysninger (de seneste 12 måneder)
| CCPA-kategori | Indsamles? | Kilde | Formål | Delt med |
|---|---|---|---|---|
| Identifikatorer (e-mail, bruger-ID, enheds-ID) | Ja | Dig; din enhed | Konto, sikkerhed, analyse | Firebase, RevenueCat |
| California Customer Records (Cal. Civ. Code §1798.80) | Ja (navn) | Dig | Konto | Firebase |
| Beskyttede klassifikationer | Nej | — | — | — |
| Kommercielle oplysninger (abonnementshistorik) | Ja | Apple, RevenueCat | Levering af abonnement | RevenueCat |
| Biometriske oplysninger | Nej (Face ID forbliver på enheden) | — | — | — |
| Internet- / netværksaktivitet | Begrænset (applikationshændelser, nedbrudsrapporter) | Din enhed | Analyse, pålidelighed | Firebase |
| Geografisk placering | Kun grov (land / tidszone) | Din enhed | Lokalisering af indhold | Firebase |
| Lyd / billede | Profilbillede (valgfrit) | Dig | Profil | Firebase Storage |
| Erhvervs- eller beskæftigelsesoplysninger | Nej | — | — | — |
| Uddannelse | Nej | — | — | — |
| Slutninger | Nej | — | — | — |
| Følsomme personoplysninger | Dagbogsindhold anses for følsomt | Dig | AI-indsigter (kun med samtykke) | OpenAI, Google Gemini |
Dine rettigheder i Californien
- Viden / indsigt — jf. §10.
- Sletning / berigtigelse — jf. §10.
- Indsigelse mod salg / deling — vi sælger og deler ikke dine personoplysninger; der er intet at gøre indsigelse mod.
- Begrænsning af brugen af følsomme oplysninger — følsomme oplysninger (dit dagbogsindhold) anvendes alene til de i §6 beskrevne formål og med dit udtrykkelige samtykke.
- Ingen forskelsbehandling — din adgang til Tjenesten begrænses ikke, der anvendes ikke en anden pris, og der leveres ikke en anden kvalitet, fordi du udøver disse rettigheder.
Send en anmodning til [email protected] med emnet California Privacy Request. Vi bekræfter din identitet ud fra den e-mailadresse, der er registreret på din konto.
Der tilbydes ikke økonomisk incitament til gengæld for personoplysninger.
14. Cookies og Lignende Teknologier
I iOS-applikationen: Der anvendes ikke webcookies. Applikationen opbevarer alene mindre præferencer (f.eks. tema, sprog, notifikationspræferencer) i UserDefaults på din enhed samt app-låsekoden i iOS Keychain. Disse oplysninger deles ikke med os eller tredjeparter.
På thanxful.app: På datoen for nærværende politiks ikrafttræden anvender præsentationswebstedet hverken cookies, webbeacons eller tredjeparts analyseværktøjer. Hvis sådanne tilføjes på et senere tidspunkt, opdateres dette afsnit, der vises et cookie-samtykkeboks (cookie banner) på webstedet, og ændringen behandles som en væsentlig ændring i henhold til §15.
15. Ændringer af Politikken
Nærværende politik kan opdateres fra tid til anden. Ved væsentlige ændringer (ændringer, der påvirker dine rettigheder eller måden, dine oplysninger behandles på) underrettes du mindst 30 dage før ændringen træder i kraft, både via e-mail og via en notifikation i applikationen. Ved ikke-væsentlige ændringer (rettelser af stavefejl, præciseringer) opdateres dokumentet, og Ikrafttrædelsesdatoen øverst opdateres.
Hvis du ikke accepterer den nye version, kan du ophøre med at anvende Tjenesten og slette din konto inden ikrafttrædelsesdatoen.
16. Kontakt
For alle privatlivsrelaterede spørgsmål, anmodninger eller klager:
- E-mail:
[email protected](emne:Privatliv) - Dataansvarlig: Kadir Alan — enkeltmandsvirksomhed (şahıs şirketi), Tyrkiet
Hvis der er behov for en fysisk forkyndelsesadresse, bedes du først skrive til os på [email protected]; adressen oplyses efter anmodning.
De tilsynsmyndigheder, du kan klage til, er anført i §10.
17. Ordliste
- KVKK — Lov nr. 6698 om beskyttelse af personoplysninger (Tyrkiet).
- GDPR — Den Europæiske Unions Generelle Forordning om Databeskyttelse 2016/679.
- CCPA / CPRA — California Consumer Privacy Act, som ændret ved California Privacy Rights Act.
- COPPA — Children's Online Privacy Protection Act (USA, under 13 år).
- FCM — Firebase Cloud Messaging (notifikationsinfrastruktur).
- Særlige kategorier af personoplysninger / følsomme oplysninger — oplysninger om helbred, religion, politiske holdninger, seksuelt liv mv., der i henhold til KVKK artikel 6 og GDPR artikel 9 kræver forhøjet beskyttelse.
- Dataansvarlig — den fysiske eller juridiske person, der bestemmer formålene med og hjælpemidlerne til behandlingen af personoplysninger og er ansvarlig for oprettelsen og forvaltningen af dataregistreringssystemet (her: Kadir Alan).
- Udtrykkeligt samtykke — et samtykke vedrørende et bestemt emne, baseret på information og afgivet ved fri vilje.
Tak for, at du betror os din taknemmelighedsrejse.
— Thanxful